情報セキュリティマネジメント入門ファイアウォール

不正アクセスを防ぐ方法として、最も基本的な対策が「ファイアウォール」を設置するというものです。

ファイアウォール

不正アクセスは、インターネットに接続されたコンピュータに攻撃されることで発生します。同じネットワークでもローカルネットワーク内だけであれば、内部犯を除いて攻撃を受ける可能性は低くなります。

そこで、ローカルネットワークとインターネットとの境界部分に、防火壁となる「ファイアウォール」と呼ばれる機器またはソフトウェアをインストールしたコンピュータを設置して、攻撃をファイアウォールが防ぐという方法です。

なお、ネットに接続する際に利用する「ルーター」という機器に、ファイアウォールの機能が内包されている場合もあります。

パケットフィルタリング型ファイアウォール

実際のファイアウォールの動きは、一定のルールに従って通信を許可するかどうかを「フィルタ」するというものです。通信される際の「IPアドレス」や「ポート番号」などの情報を元に、個別に許可をするかどうかを判断します。

その際、ファイアウォールにはあらかじめ「フィルタリングルール表」と呼ばれる、通過させるIPアドレスやポート、拒否するIPアドレスやポートなどを定義した表を作成しておき、これに沿って通信の可否を判断します。

ACKフラグ

Webサイトを閲覧する場合などは、社内のコンピュータが外部のWebサーバーに、閲覧したいWebサイトの情報をリクエストすると、Webサーバーがその情報を返信してくれます。

しかし、ファイアウォールの設定によってはその返信も、フィルタリングされて通れなくなってしまうことがあります。そこで、こちらから出したリクエストへの返信の場合には「ACKフラグ」という情報を元に、通過を許可するといった設定を行うこともあります。

[ad]

アプリケーションゲートウェイ型ファイアウォール

パケットフィルタリング型ファイアウォールに加えて、アプリケーションごとのより細かい制御が可能なファイアウォールです。例えば、Webサーバーに設置する「WAF（Web Application Firewall）」などがよく利用されています。

これらは、Webサーバーへのリクエストを いったんWAFが受け取って内容を解析し、データの不整合がないかを検査したり（ステートフルインスペクション）、データの内容をより細かく解析して、機密情報が含まれていないかなどを検査する「ディープパケットインスペクション」等が設定できます。

プロキシサーバー

アプリケーションゲートウェイと似たものとして、プロキシサーバーと呼ばれる機器またはソフトウェアがあります。

プロキシ（Proxy）は「代理人」といった意味で、その名の通り本来のWebサーバーの代理として、リクエストを処理します。Webサーバー本体はプロキシサーバーと情報をやり取りし、データをプロキシサーバーに受け渡しします。

プロキシサーバーは受け取ったデータを「キャッシュ」と呼ばれる領域に保管しておき、次に同じリクエストが来た場合はプロキシサーバー自身がキャッシュを返すことで、Webサーバーの負担を軽減するとともに、安全に通信をすることができます。

リバースプロキシとシングルサインオン

プロキシサーバーは、複数台のサーバーの代理を行うこともあります。このような構成を「リバースプロキシ」と言います。

リバースプロキシのメリットとして、プロキシサーバーがユーザーを認証したら、その認証情報を複数のサーバーで共有することができ、ユーザーにとっては何度も認証手続きをしなくて済むようになります。これを「シングルサインオン」といい、プロキシサーバーを利用するメリットの1つです。